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(57) Abstract 
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(57) Zusammenfassung 

Es wird ein Verfahren vorgeschlagen, bei dem fiir einen Fehler eines Sensors und/oder eines Aktors eine zustandsendliche Beschreibung 
des technischen Systems fOr den Fehlerfall und eine zustandsendliche Beschreibung des technischen Systems fur den fehlerfreien Fall ermittelt 
wird. Fur beide Beschreibungen werden jeweils die erreichbaren Zustande vorzugsweise mittels Model Checking ermittelt. Es wird eine 
Differenzmenge von Zustanden der beiden Beschreibungen gebildet, fiir deren Zustande uberpruft wird, ob diese Zustande vorgebbaren 
Bedingungen genugen (z.B. Sicherheitsbedingungen). 
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Beschreibung 

Verfahren zur rechnergestutzten Fehleranalyse von Sensoren 
und/oder Aktoren in einem technischen System 

5 

Fur komplexe technische Systeme oder Anlagen ist es von enor- 
mer Bedeutung, Aussagen liber die Zuverlassigkeit des jeweili- 
gen Systems bzw. der Anlage treffen zu konnen. 

10 Es ist bekannt, dafi Aussagen liber die Zuverlassigkeit eines 
beliebigen technischen Systems bzw. einer Anlage manuell, 
beispielsweise durch eine sog. Fehlerbaumanalyse (vgl. [1]), 
oder simulativ bzw. ana.lytisch auf Basis von speziell zu die- 
sem Zweck erstellten Modellen (vgl. [2]) erzeugt werden kon- 

15 nen. Zur einfacheren Darstellung wird im weiteren nur noch 

von technischen Systemen gesprochen. Technische Anlagen sind 
im Rahmen dieses Dokuments jedoch in dem Begriff des techni- 
schen Systems umfafit. Eine vollstandige manuelle Ermittlung 
der Auswirkungen eines technischen Fehlverhaltens von Senso- 

2 0 ren und/oder Aktoren, ist in einem komplexen technischen Sy- 
stem aufgrund der vernetzten Abhangigkeiten und der unter- 
schiedlichen Realisierungsf ormen der Steuerung, des gesteuer- 
ten Systems und der Sensorik und/oder Aktorik praktisch nicht 
moglich. Die in [2] beschriebenen analytischen Techniken er- 

25 fordern die Erstellung eines speziellen Modells, fur das im 
allgemeinen nicht garantiert werden kann, daii es das jeweils 
betrachtete System korrekt beschreibt. Dadurch wird natiirlich 
die Qualitat der Aussagen erheblich reduziert, Ferner ist ein 
erheblicher Nachteil der in [2] beschriebenen Ansatze, dafi 

30 die Modellerstellung zusatzlichen Entwicklungsaufwand und 
- Zeit erfordert. Dadurch wird eine kurzfristige Untersuchung 
alternativer Realisierungen eines technischen Systems, was 
auch als Rapid Prototyping bezeichnet wird, verhindert. 

35 Es ist bekannt, ein technisches System in einer zustandsend- 
lichen Beschreibung, z.B. als Automat, zu beschreiben. Eine 
zustandsendliche Beschreibung weist liblicherweise Zustande 
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auf, in denen Aktionen durchgefuhrt werden, wenn sich das • 
technische System in dem jeweiligen Zustand befindet. Ferner 
weist die zustandsendliche Beschreibung iiblicherweise Zu- 
standsubergange auf, die mogliche Wechsel des technischen Sy- 
5 stems zwischen Zustanden beschreiben. Auch bei Zustandsiiber- 
gangen kann das technische System Aktionen durchftihren. In 
einem gesteuerten technischen System ist es in diesem Zusam- 
menhang bekannt, die zustandsendliche Beschreibung derart 
auszugestalten, daft das Verhalten der Steuerung des techni- 
10 scher. Systems und das Verhalten der gesteuerten Anlage als 

Zuctar.dsautomat dargestellt wird. Auch ist bei diesen Ansat- 
r.cr. nicht sichergestellt , daJ3 alle moglichen Fehlerauswirkun- 
oop. auf das System korrekt ermittelt werden. 

15 Moglichkeiten zur textuellen Beschreibung eines Zustandsauto- 
maten, die mit einem Rechner verarbeitet wird, sind z.B. In- 
terlocking Specification Language (ISL) oder Control Specifi- 
cation Language (CSL) , die in [3] beschrieben sind. 

2 0 Es ist ferner bekannt, eine zustandsendliche Beschreibung fur 
die Generierung von Steuerungen durch einen Rechner und fur 
den rechnergestutzten Nachweis von Eigenschaf ten eines feh- 
lerfreien technischen Systems zu verwenden. 



25 



30 



35 



Eine Moglichkeit zum rechnergestutzten Nachweis von Eigen- 
schaften eines fehlerfreien technischen Systems verwendet das 
Prinzip des sog. Model Checkings, das in [4] beschrieben ist. 

Ferner ist es bekannt zur zustandsendlichen Beschreibung ei- 
nes Systems ein sogenanntes Finite State Machine-Format (FSM- 
Format) zu verwenden, deren Grundlagen in [5] beschrieben 
sind. Binary Decision Diagrams (BDD) besitzen den Vorteil, in 
vielen Fallen auch sehr umfangreiche Zustandssysteme kompakt 
zu reprasentieren. 

Somit liegt der Erfindung das Problem zugrunde, ein Verfahren 
zur rechnergestutzten Fehleranalyse von Sensoren und/oder Ak- 
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toren in einem technischen System anzugeben, mit dem die Kor- 
rektheit der Fehleranalyse gewahrleistet wird. 

Das Problem wird durch das Verfahren mit den Merkmalen des 
5 Patentanspruchs 1 gelost. 



Das Verfahren wird mit einem Rechner durchgefiihrt und umfafit 
f olgende Schritte : 

a) fur einen Fehler eines Sensors und/oder eines Aktors des 
10 Systems wird eine zustandsendliche Beschreibung des techni- 
schen Systems fur den Fehlerfall ermittelt, 

b) fur das technische System wird eine erste Menge erreichba- 
rer Zustande ermittelt, 

c) fur das f ehlerbehaf tete technische System wird eine zweite 
15 Menge erreichbarer Zustande ermittelt, 

d) es wird eine Dif f erenzmenge aus der ersten Menge und der 
zweiten Menge gebildet, 

e) es werden Ergebniszustande aus der Dif f erenzmenge ermit- 
telt, die vorgebbaren Bedingungen geniigen. 

20 

Anschaulich kann die Erfindung dadurch beschrieben werden, 
da£ ein Model Checking sowohl fur das fehlerfreie technische 
System als auch ein mit einem Fehler eines Sensors und/oder 
Aktors behafteten System durchgefiihrt wird. Durch das Model 

25 Checking werden alle erreichbaren Zustande des fehlerfreien 
bzw. des f ehlerbehaf teten Systems ermittelt. Aus diesen Zu- 
standen wird eine Dif f erenzmenge von Zustanden gebildet. Fur 
die Dif f erenzmenge werden die Zustande der Dif f erenzmenge er- 
mittelt, die einer vorgebbaren Bedingung geniigen, z.B. einer 

30 Sicherheitsanforderung an das System. Diese Zustande stellen 
fur den- jeweils untersuchten Fehlerfall einen „gef ahrlichen" 
Zustand bzgl. der vorgebbaren Bedingung dar . 

Durch das Verfahren wird gewahrleistet, dafi alle fur den je- 
35 weils untersuchten Fehlerfall, d.'h. fur den fehlerhaften Sen- 
sor und/oder Aktor, hinsichtlich vorgebbarer Bedingungen 
„gef ahrliche xx Zustande ermittelt werden. 
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Vorteilhafte Weiterbildungen der Erfindung ergeben sich aus 
den abhangigen Anspriichen. 

Es ist vorteilhaft, das Verfahren fur alle moglichen Fehler 
von Sensoren und/oder Aktoren, die das technische System auf- 
weist, durchzufiihren. Auf diese Weise wird fur das gesamte 
System gewahrleistet, dafi hinsichtlich vorgebbarer Bedingun- 
gen alle „gef ahrlichen" Zustande ermittelt werden. 

Ferner ist es vorteilhaft, den Sensoren und/oder Aktoren Aus- 
fallwahrscheinlichkeiten zuzuordnen und die Fehleranalyse un- 
ter Beriicksichtigung der Ausf allwahrscheinlichkeiten durchzu- 
fiihren . Auf diese Weise wird es ohne groJieren Rechenaufwand 
bei der Durchfiihrung des Verfahrens mit einem Rechner mog- 
lich, fur die ermittelten Zustande anzugeben, mit welcher 
Wahrscheinlichkeit dieser Zustand tatsachlich erreicht wird, 
womit eine Risikoabschatzung ftir das jeweils analysierte Sy- 
stem sehr einfach und anschaulich mdglich wird. 

Weiterhin ist es zur weiteren Rechenzeiteinsparung bei der 
Durchftihrung des Verfahrens mit einem Rechner vorteilhaft, 
die zustandsendliche Beschreibung durch einen endlichen Auto- 
maten in Form eines Binary Decision Diagrams (BDD) zu reali- 
sieren. 



Das Verfahren kann durch die oben Beschriebenen Eigenschaf ten 
sehr vorteilhaft in folgenden Gebieten Verwendung finden: 

- beim Rapid Prototyping des technischen Systems. 

- im Rahmen der Fehlerdiagnose des technischen Systems. 

- zur Generierung kritischer Priiffalle fur eine Inbetriebset- 
zung und einen Systemtest des technischen Systems. 

- zur praventiven Wartung des technischen Systems. 

In den Figuren ist ein Ausf tihrungsbeispiel der Erfindung dar- 
gestellt, welches im weiteren naher erlautert wird. 
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Es zeigen 

Figur 1 ein skizzenhafte Darstellung des Verfahrens; 
Figur 2 eine Skizze einer zustandsendlichen Beschreibung 

einer Steuerung und des durch die Steuerung 
5 gesteuerten Prozesses eines technischen Systems, 

wobei die fehlerfreie Steuerung und der Prozefi 

jeweils als ein eigener Zustands automat beschrieben 

sind; 

Figur 3 eine Skizze der zustandsendlichen Beschreibung aus 
10 Figur 1 mit einem symbolisch dargestellten allge- 

meinen Sensorf ehlermodell und Aktorf ehlermodell ; 
Figur 4 eine Skizze der zustandsendlichen Beschreibung aus 
Figur 1 mit einem symbolisch dargestellten nicht- 
persistenten Fehler eines Sensors; 
15 Figur 5 eine Skizze der zustandsendlichen Beschreibung aus 
Figur 1 mit dem Fehler aus Figur 4, wobei als Er- 
satz 

des Fehlermodells die Steuerung modifiziert wurde; 
Figur 6 eine Skizze einer Draufsicht des Ausf iihrungsbei- 
20 spiels, einem Hubdrehtisch einer Fertigungszelle; 

Figur 7 eine Skizze, in der die vorgesehene Bewegung des 

Hubdrehtischs aus Figur 6 dargestellt 1st; 
Figur 8 eine Skizze des Zustandsraums des fehlerfreien 

Hubdrehtischs ; 

25 Figur 9 eine Skizze des Zustandsraums eines f ehlerbehaf te- 
ten Hubdrehtisch; 



Eine geeignete zustandsendliche Beschreibung stellt das Ver- 
halten der Steuerung und das Verhalten der gesteuerten Anlage 
30 als Zustandsautomat dar. Die Darstellung kann auf unter- 

schiedliche Weise, z.B. in textueller Form unter Verwendung 
von ISL oder CSL, erfolgen. 

In Figur 2 ist ein einfaches technisches System mit einer 
35 fehlerfreien Steuerung FS, Zustanden yl, y2, y3 und Zu- 

standsiibergangen xl, x2 als Zustandsautomat dargestellt. Die 
Steuerung S beschreibt als Zustande Aktoren. Ein gesteuerter 
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Prozefl P enthalt die Beschreibung von Sensoren xl, x2, x3 als 
Zustande xl, x2, x3 und Zustandsubergange yl, y2, y3 . 

Die Steuerung S des Systems reagiert auf Meftwerte xj (xl, x2, 
x3) von Sensoren X.Somit werden durch Sensordaten daher in 
der Steuerung S Zustandsubergange ausgelost. Die Zustande 
sind durch Werte yi (yl, y2 , y3 ) von Zustandsvariablen Y cha- 
rakterisiert, die Aktoren zugeordnet sind. Das Stellen von 
Aktoren Y lost wiederum Zustandsubergange in der gesteuerten 
Anlage, d.h. in dem Prozefi P aus, was sich in einer Modifika- 
tion der Werte der Sensoren X aufiert. 

Die Zustandsautomaten der Steuerung S und des Prozesses P 
fiihren alternierend Zustandsubergange durch. Die Ausgaben des 
einen Automaten sind die Eingaben des jeweils anderen Automa- 
ten. 

Die Schnittstelle zwischen Steuerung und gesteuerter Umgebung 
kann in einer entsprechenden Beschreibung automatisch erkannt 
werden. Ferner ist es moglich, wie im weiterem detailliert 
beschrieben wird, einer derartigen Beschreibung den Wertevor- 
rat zu entnehmen, den die einzelnen Werte (Zustande bzw. Zu- 
standsubergange) annehmen konnen. 

In Figur 3 ist symbolisch eine Fehlermodellierung fur fehler- 
hafte Sensoren in einem Sensorf ehlermodell SF und fur fehler- 
hafte Aktoren in einem Aktorf ehlermodell AF dargestellt. 

Technisch sind also an der Schnittstelle zwischen Steuerung S 
und gesteuertem ProzeJi P Sensoren X und Aktoren Y angeschlos- 
sen. Ein Fehlverhalten eines Sensors X fuhrt dazu, daJi an- 
stelle^des korrekten Mefiwerts xj ein anderer, fehlerhafter 
Wert xj an die Steuerung S geliefert wird, d.h. der Steue- 
rung S zuge fuhrt wird. Ein Fehlverhalten eines Aktors aufiert 
sich im Einstellen eines falschen Werts y^ anstelle des 
Werts yi. Welche Sensoren X und Aktoren Y vorhanden sind und 
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welcher Wertevorrat hier zu berucksicht-igen 1st, kann der zu- 
standsendlichen Beschreibung entnommen werden. 

Dies gestattet die automatisierte, systematische Analyse der 
5 Auswirkungen von Sensor- und Aktorfehlern auf das Verhalten 
eines gesteuerten Systems. Zwischen den gesteuerten Prozefi P 
und die Steuerung S werden Sensorf ehlermodelle SF bzw. Aktor- 
f ehlermodelle AF geschaltet, die den jeweiligen Fehler des 
Sensors x und/oder Aktors y beschreiben. In der Figur 3 sind 
10 beispielhaft Modelle fur intermittierende (nicht persistente) 
Einzelfehler der Sensorik und Aktorik angegeben. 

Ein nichtpersistenter Einzelfehler eines Sensors x wird be- 
schrieben durch folgende Vorschrift: 

15 

Xj = Xj| j * n (fehlerfreie Werte) 



(fehlerhaf ter Wert) . 

Ein nichtpersistenter Einzelfehler eines Aktors y wird be- 
schrieben durch folgende Vorschrift: 

20 



(fehlerfreie Werte) 



(fehlerhafter Wert) . 



Figur 4 zeigt das allgemeine Sensorf ehleritiodell SF aus Figur 
3 fur den Fall, dafi ein nichtpersistenter Einzelfehler bei 
einem ersten Sensorwert xl vorliegt derart, dafi der erste 
Sensorwert xl entweder den korrekten ersten Sensorwert xl 
oder aufgrund eines Sensor fehlers einen zweiten Sensorwert x2 
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aufweist, der in dies em Fall ein fehlerhafter Wert ware. Der 
zweite Sensorwert x2 und ein dritter Sensorwert x3 werden 
korrekt gemessen. 

Eine wichtige Frage, die es zu beantworten gilt, ist nun, ob 
die Kombination aus Steuerung S und gesteuerten Prozefl P auf- 
grund des Sensorf ehlers in kritische Zustande gelangen kann, 
die im fehlerfreien Fall sicher ausgeschlossen werden konn- 
ten. 



Eine Moglichkeit, diesen Nachweis fur den fehlerfreien Fall 
zu erbringen, bietet das sogenannte Model Checking, welches 
in [4] beschrieben ist. Dieses Verfahren gestattet es, die 
Menge der erreichbaren Zustande zu ermitteln und zu untersu- 
15 chen, ob Zustande enthalten sind, die z.B. Sicherheitsbedin- 
gungen verletzen. 

Urn diese Technik zur Fehleranalyse von in dem System enthal- 
tenen Sensoren X und/oder Aktoren Y anwenden zu konnen, wer- 
den hier die Sensorf ehlermodelle SF bzw. Aktorf ehlermodelle 
AF durch eine geanderte Steuerungslogik beschrieben 
(vgl . Figur 5) . 



Die in Figur 5 dargestellte Kombination aus Steuerung S und 
gesteuertem ProzeJi P verhalt sich identisch zu dem in Figur 4 
dargestellten Modell fur den Fehlerfall bei dem ersten Sen- 
sorwert xl. Es kann hier jedoch auf den Einschub eines expli- 
ziten Fehlermodells zwischen Steuerung S und gesteuertem Pro- 
zeJJ P verzichtet werden. Aufgrund des angenommenen intermit- 
tierenden Fehlers werden in der Steuerung mit xl indizierte 
Zustandsubergange parallel zu den mit x2 markierten Zu- 
standsubergangen hinzugefilgt . 

Damit wird der folgende Sachverhalt beschrieben: 
Der zweite Sensorwert x2 und der dritte Sensorwert x3 werden 
korrekt gemessen. Daher ist das Steuerungsverhalten fur diese 
Werte unmodif iziert . Da ein intermittierender Fehler angenom- 
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men wird, kann auch der erste Sensorwert xl korrekt gemeldet 
werden, so daJi diese Zustandsubergange erhalten bleiben. 
Wiirde eine persistente Vertauschung von dem ersten Sensorwert 
xl mit dem zweiten Sensorwert x2 angenommen, so muBten mit xl 
5 beschriftete Kanten geloscht werden. Alle Zustandsubergange 
die mit x2 markiert sind, konnen nun auch beim Wert xl durch- 
laufen werden. Daher wird eine entsprechende Kante in der 
Steuerung S erganzt. Die Steuerung S reagiert auf den Wert 
x2, aber an der Stelle xl des Prozesses. 

0 

Diese Modifikation der Steuerungslogik zur Beschreibung von 
Fehlern kann formal fur alle betrachtbaren Fehler automatisch 
durch den Rechner durchgefiihrt werden. 



WO 98/40796 

* 



15 Fur die entstehenden Modelle konnen die Fragen nach der Er- 
reichbarkeit von kritischen Zustanden (z.B. Sicherheit, Ver- 
klemmungen) ebenfalls durch Anwendung des Model Checkings be- 
antwortet werden. Es erfolgt also eine automatische Ermitt- 
lung der im f ehlerbehaf teten System erreichbaren Zustande 

2 0 vorzugsweise unter Verwendung des Model Checkings. 

Anschliefiend wird jeweils eine Dif f erenzmenge der im jeweili- 
gen Fehlerfall erreichbaren Zustande und der im fehlerfreien 
Fall erreichbaren Zustande ermittelt. 

25 

Aus der Dif f erenzmenge werden jene Zustande ermittelt, die 
mindestens einer vom Benutzer vorgebbaren Bedingung (z.B. 
Verletzung einer Sicherheitsanf orderung) gentigen bzw. diese 
verletzen, je nach Anwendung. 

30 

In Figur 1 ist diese Vorgehensweise noch einmal in einem 
Blockschaltbild symbolisch dargestellt. Fur die Steuerung FS 
und den gesteuerten Prozeii P wird mindestens ein Sensorfeh- 
lermodell SF und/oder mindestens ein Aktorf ehlermodell AF er- 
35 stellt, unter deren Berucksichtigung eine formale Analyse der 
zustandsendlichen Beschreibung fur das f ehlerbehaf tete System 
vorzugsweise durch Model Checking erfolgt. 
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Fur das Ergebnis des Vergleichs nit dem fehlerfreien System 
und der Ermittlung „ ge f ahrlicher" Zustande werden die Ursa- 
che-Wirkungs-Zusammenhange zwischen Sensor- bzw. Aktorfehlern 
und dem moglichen Eintritt der betrachteten Wirkung ermittelt 
und vorzugsweise in einem Ursache-Wirkungs-Graph dargestellt. 

In Figur 6 ist ein technisches System in Form eines Hubdreh- 
tischs HD einer Fertigungszelle FZ dargestellt, mit dem das 
10 Verfahren noch detaillierter dargestellt werden soil. 

Die Fertigungszelle. FZ weist ein zufuhrendes Fbrderband FB, 
an dessen Ende ein Hubdrehtisch Werkstucke WS aufnimmt und 
einem Roboter R zufuhrt. Der Roboter R legt das Werkstuck WS 
in eine Presse PR und gibt es nach dem Formen auf ein wegfiih- 
rendes Band WB. Die Fertigungszelle FZ enthalt entsprechende 
Sensoren X und Aktoren Y. 

Der Hubdrehtisch HD kann sich mit Hilfe zweier Antriebe 
20 (nicht dargestellt) in vertikaler (vmov) und horizontaler 
(hmov) Richtung bewegen. Jeder Antrieb kann in negative 
(minus) oder positive (plus) Richtung angesteuert werden oder 
stillstehen (stop) . 

25 Der Hubdrehtisch HD verfugt uber Sensoren X zur vertikalen 
(vpos) und horizontalen (hpos) Positionserf assung, die die 
Positionen xO (unten) , xl (mitte) und x2 (oben) unterscheiden 
, konnen. Zusatzlich erfaBt ein weiterer Sensor (part_on_table) 
(nicht dargestellt) das Vorhandensein eines Werkstiicks WS auf 

30 dem Hubdrehtisch HD. 

Die Ausgangsposition AP des Hubdrehtischs HD . ist am unteren, 
linken Anschlag (x0,x0) ohne Werkstuck WS (vgl. Figur 7). 
Falls ein Werkstuck WS vom zufuhrenden Forderband FB auf "den 
35 Hubdrehtisch HD fallt, so ist die Zielposition ZP des Hub- 
drehtischs HD oben rechts (x2, x2) . 
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Der Hubdrehtisch HD darf niemals eine andere horizontale Po- 
sition als xO (linker Anschlag) in Kombination mit der verti- 
kalen Position xO (unten) einnehmen, da er sonst mit dem zu- 
fuhrenden Forderband FB kollidieren wurde (verbotener Bereich 
5 VB) . 



PCT/DE98/00633 



lm weiteren ist eine Beschreibung des Zustandsautomaten der 
Steuerung FS des Hubdrehtischs HD in CSL angegeben: 

K* Cr:>>: -Classes table 

Types 

bool = [nein, ja] ; 

posType = [xO, xl, x2] ; 

movType = [stop, plus, minus] ; 

15 

Class pcd 



St a ce Variables 

input vpos : posType default xO; 

input hpos : posType default xO; 

input part_on_table : bool default nein; 
output vmov: movType default stop; 
output hmov: movType default stop; 



25 Transitions 

start_up := (part_on_table = ja /\ vpos = xO) 

==> (** vmov = plus); 

rotate := (part_on_table = ja A vpos = xl /\ hpos < x2) 

==> (** hmov = plus) ; 

30 stophigh := (part_on_table = ja A vpos = x2 ) 

- ==> (** vmov = stop) ; 

stop4 5 := (part_on_table = ja A hpos = x2) 

==> (** hmov = stop) ; 

rotate_back := ( par t_o notable = nein /\ vpos = x2 /\ 
35 A hpos = x2) ==> (** hmov = minus) ; 

start_down := (part_on_table = nein A hpos = xO /\ 
A vpos = x2) ==> (** hmov = stop /\ 
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A ** vmov = minus) ; 
stoplow := (part_on_table = nein /\ vpos = xO) 
==> (** vmov = stop) ; 

End /* Class pcd_controll*/ 
End table 
CSLInstances i 

table : pcd; 

End i 



Die oben angegebene Beschreibung in CSL legt die Steuerungs- 
logik des Hubdrehtischs HD fest. Der Kopf der CSL- 
Beschreibung vereinbart Datentypen (Wertebereiche) der Zu- 
standsvariablen. Die anschlieliende Deklaration der Zustands- 
variablen nutzt diese Typvereinbarungen und legt zusatzlich 
Anfangswerte fest. Anhand der Vereinbarung von Zustandsvaria- 
blen als Input oder Output kann festgestellt werden, ob es 
sich urn eine Zustandsvariable handelt, die den Prozeilzustand 
darstellt oder ob sie Zustande der Steuerung FS kodiert. In- 
putvariablen der Steuerung FS kodieren ProzeBzustande . Out- 
putvariablen der Steuerung FS kodieren Steuerungszustande . 
Die Zeile „input vpos: posType default xO" deklariert eine 
Zustandsvariable mit Namen „vpos", die die Werte xO, xl und 
x2 (die Werte des Typs posType) annehmen kann und deren An- 
25 fangswert xO ist. 

Die Transitionen (Transitions) dienen zur Beschreibung der 
Steuerungslogik. Transitionen werden ausgelost durch Werte- 
kombinationen der Inputvariablen der Steuerung FS, die Pro- 
zefizustande darstellen - also die Position des Hubdrehtischs 
HD in der vertikalen (vpos) und der horizontalen (hpos) Bewe- 
gungsrichtung und das Vorhandensein eines Werkstucks WS auf 
dem Hubdrehtisch HD (part_on_table) . Die Werte der Outputva- 
riablen vmov und hmov werden durch die Transitionen, die die 
Steuerungslogik implementieren, modifiziert. Sie beschreiben 
die Zustande der Steuerung. ihre Werte werden allein durch 
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Zustandsubergange der Steuerung, also durch die der Steuerung 
eingepragte Logik modif iziert . 

Diese Inf ormationen konnen aus der CSL-Beschreibung automa- 
5 tisch entnoromen werden. Es kann zwischen Eingaben der Steue- 
rung (Inputs, Sensordaten) und Ausgaben der Steuerung 
(Outputs: Aktorkommandos) unterschieden werden. Aufierdem sind 
die jeweils moglichen Werte erkennbar (Typdeklarationen) . 

10 Die Inf ormationen bleiben im wesentlichen auch nach der Uber- 
setzung der CSL-Beschreibung in das sogenannte Finite State 
Machine-Format (FSM-Format) erhalten. Dieses FSM-Format re- " 
prasentiert die zustandsendliche Beschreibung in Form soge- 
nannter Binary Decision Diagrams (BDD) , die den Vorteil be- 

15 sitzen, in vielen Fallen auch sehr umfangreiche Zustandssy- 
steme kompakt zu reprasentieren. Eine Ubersicht uber Binary 
Decision Diagrams (BDD) ist in [5] beschrieben. 

Ein Prozefimodell zur Beschreibung der Reaktionen des gesteu- 
20 erten Prozesses ist erganzend zur in CSL beschriebenen Steue- 
rungslogik erf orderlich, urn z.B. Aussagen uber die Menge der 
erreichbaren Zustande zu ermoglichen. Dies kann im Rahmen des 
Model Checkings mit Hilfe sogenannter Assumptions, erfolgen. 
Da das Model Checking auch im Rahmen der formalen Verifikati- 
25 on der fehlerfreien Steuerung tiblicherweise verwendet wird, 
sind diese Assumptions tiblicherweise bereits vorhanden und 
konnen im Rahmen dieser Analyse erneut verwendet werden. 

Mit den Assumptions wird beschrieben, wie sich die Positionen 
30 des Hubdrehtischs HD und das Vorhandensein eines Werkstucks 
WS in Abhangigkeit der Bewegungsrichtung und der aktuellen 
Position verandern konnen. Die unten dargestellte Assumption 
( 'table. vmov 1 = stop A 'table. vpos f = xO) /\ 

x(' table, vpos ' = xO) stellt dar, daii, falls die vertikale Be- 
35 wegung gestoppt ist und die aktuelle vertikale Position unten 
(xO) ist, auch im nachsten Zustand die vertikale Position xO 
ist. Dieser Assumption liegt der Sachverhalt zugrunde, daft 
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sich Positioner, nicht andern, falls keine Bewegung stattfin- 
det . 



Im weiteren sind mogliche Assumptions, d.h. Bedingungen fur 
d le oben beschriebene Steuerung FS beschrieben: 

process:=g (((' table. vmoV = stop /\ 'table. vpos' = xO) /\ 
/\ x( 'table. vpos' = xO) \/ (• table. vmoV = stop /\ 
A 'table. vpos' =xl) /\ x (' table. vpos • = xl) 
\/ (' table. vmoV = stop /\ 'table. vpos' = X 2) /\ 
A x (' table. vpos ' = x2) 

\/ ('table. vmoV = plus /\ 'table. vpos' = x0 ) /\ 
/\ x('table.vpos' = xO \/ 'table. vpos' = xl) \/ 
\/ ('table. vmoV = plus /\ 'table. vpos' =xl) /\ 
/\ x( 'table. vpos' = xl \/ 'table. vpos' = x2) \/ 
\/ (' table. vmoV = plus A 'table. vpos' = x2) /\ 
A x( 'table. vpos' = x2) \/ (• table. vmoV = minus A 
A 'table. vpos' = xO) A x (• table . vpos ' = xO) \/ 
\/ ('table. vmoV = minus A 'table. vpos' = xl) /\ 
A x( 'table. vpos' = xO \/ 'table. vpos' = xl) \/ 
\/ (' table. vmoV = minus A 'table. vpos' = x2) /\ 
A x( 'table. vpos' = xl \/ 'table. vpos' = x2) ) /\ 
/\ (( 'table. hmoV = stop /\ ' table. hpos' = xO) /\ 
A x(' table. hpos' = xO) \/ (' table. hmoV = stop /\ 
A 'table. hpos' = xl) /\ x (• table. hpos ' = xl) \/ 
\/ ('table. hmoV = stop /\ 'table. hpos' = x2) /\ 
A x( 'table. hpos' = x2) \/ (' table .hmoV = plus A 
A 'table. hpos' = xO) /\ x (• table .hpos ' = xO \/ 
\/ 'table. hpos' = xl) \/ ('table. hmoV = plus 
/\ 'table. hpos' = xl) /\ x(- table. hpos' = xl \/ 
\/ 'table. hpos' = x2) \/ (' table . hmoV = plus /\ 
/\ 'table. hpos' = x2) /\ x (• table . hpos ' =x2) \/ 
\/ (' table. hmoV = minus A 'table. hpos' = xO) /\ 
/\ x( 'table. hpos' = xO) \/ (' table .hmoV = minus A 
A 'table. hpos' = xl) /\ x (' table. hpos ' = xO \/ 
\/ 'table. hpos- = xl) \/ ('table. hmov- = minus /\ 
/\ 'table. hpos' = x2) /\ x (' table. hpos ' = xl \/ 
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\/ 
A 
A 
A 
A 
\/ 
A 
A 
A 
\/ 
A 
\/ 
/\ 



1 table. hpos' = x2) ) /\ (( ■ table . vpos ' = xO /\ 
'table. hpos' = xO /\ 1 table .vraov' = stop A 
' table .hmov 1 = stop /\ 
1 table .part_on_table 1 = nein A 
x (' table .part_on_table ' = ja) ) \/ 
( 'table. vpos' = x2 /\ 'table. hpos' = x2 /\ 
1 table. vmov 1 = stop A "table. hmov 1 = stop /\ 
1 table. part_on_table 1 = ja /\ 
x ( ' table. par t_o notable' = nein)) \/ 
( ' table . pa rt_o notable 1 = ja A 
x ( f table. par t_on_t able 1 = ja) ) \/ 
( ' table .part_on_table 1 = nein A 
x ( 1 table .part_on_t able' = nein)))). 



15 In Figur 8 ist ein Zustandsraum ZR des Hubdrehtischs HD und 
die Bewegung des fehlerfreien Hubdrehtischs HD im Zustands- 
raum ZR dargestellt, wie er sich nach Durchfiihrung des Model 
Checkings auf die zustandsendliche Beschreibung der fehler- 
freien Steuerung FS mit den angegebenen Assumptions ergibt . 

20 

In den Zeilen ist jeweils ein Wertepaar fur das Tripel der 
Variablen (vpos, hpos, part_on_table) dargestellt. In den 
Spalten ist jeweils ein Wertepaar fur das Tupel der Variablen 
(vmov, hmov) mit den jeweils oben definierten Wertemengen 
25 dargestellt. 

Schraffiert Kreise in dem Zustandsraum ZR markieren hinsicht- 
lich der Sicherheitsbedingung „verbotene" bzw. „gef ahrliche" 
Zustande. Fett markierte Kreise in dem Zustandsraum ZR mar- 
30 kieren Zustande, die der Hubdrehtisch HD gemafi der oben ange- 
gebenen- Beschreibung annehmen kann. Diese wurden durch das 
Model Checking ermittelt. Durch Pfeile sind Zustandsubergange 
in dem Zustandsraum ZR angedeutet. 

35 In Figur 9 ist der Zustandsraum ZR des Hubdrehtischs HD und 
die Bewegung des Hubdrehtischs HD im Zustandsraum ZR darge- 
stellt, falls der Sensor 'part on table 1 f ehlerhaf terweise 
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em Werksttick WS meldet. In Figur 9 warden die gleichen Be- 
zeichnungen verwendet wie in Figur 8. Es ist deutlich zu er- 
kennen, da* fur diesen Fehlerfall Zustande auftreten konnen, 
die im fehlerfreien System nicht erreichbar sind. Diese Zu- 
stande sind in Figur 9 mit VZ bezeichnet. 

Den einzelnen Sensoren x und/oder Aktoren y werden Ausfall- 
wahrscheinlichkeiten zugeordnet, die jeweils die Wahrschein- 
lichkeit fur das Auftreten eines Fehlers bei dem Sensor x 
bzw. Aktor y beschreiben. Durch Verknupfung von Verbundwahr- 
schemlichkeiten fur das Auftreten von Fehlern verschiedener 
Sensoren und/oder Aktoren und fur das Auftreten verschiedener 
Zustande kann durch diese Vorgehensweise eine sehr einfach 
Risikoabschatzung far das technische System erfolgen. Details 
zur Berechnung abhangiger Wahrscheinlichkeiten in Fehlerbaa- 
men sind in [1] zu finden. 

Somit erfolgt die Fehleranalyse unter Berucksichtigung der 
Ausfallwahrscheinlichkeiten. 

Das Verfahren wird vorzugsweise fur alle moglichen Fehler der 
vorhandenen Sensoren und/oder Aktoren durchgef uhrt . 



BNSDOCID: <WO 9840796A1_I_> 



WO 98/40796 PCT/DE98/00633 

17 

Im Rahmen dieses Dokuments wurden folgende Verof f entlichungen 
zitiert : 

[1] DIN 25424, Teil 1: Fehlerbaumanalyse : Methode und 
5 Bildzeichen; Teil 2: Handrechenverf ahren zur Auswertung 

eines Fehlerbaums 

[2] J. Dekleer und B. C. Williams, Diagnosing Multiple 
Faults, , Elsevier Science Publishers, Artificial 
10 Intelligence, Vol. 32, 1987, S. 97 -130 

[3] K. Nokel, K. Winkelmann, Controller Synthesis and Veri- 
fication: A Case Study, in: C. Leverentz, T. Lindner, 
Formal Development of Reactive Systems, Lecture Notes in 
15 Computer Science (Nr. 891), Springer 1995, S. 55 - 74 

[4] J. Burch et al, Symbolic Model Checking for Sequential 
Circuit Verification, IEEE Trans, on Computer-Aided 
Design of Integrated Circuits and Systems, Vol. 13, 
20 Nr. 4, S. 401 - 424, April 1994 

[5] R. Bryant, Symbolic Boolean Manipulation with Ordered 

Binary-Decision Diagrams, ACM Computing Survey, Vol. 24, 
Nr. 3, S. 293 - 318, September 1992 
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Patentansprtiche 



1. Verfahren zur rechnergestutzten Fehleranalyse von Sensoren 
und/oder Aktoren in einem technischen System, welches in Form 
einer zustandsendlichen Beschreibung vorliegt, die Zustande 
des technischen Systems aufweist, durch einen Rechner, 

a) bei dem fur einen Fehler eines Sensors und/oder eines Ak- 
tors eine zustandsendliche Beschreibung des technischen Sy- 
stems fur den Fehlerfall ermittelt wird, 

b) bei dem fur das technische System eine erste Menge er- 
reichbarer Zustande ermittelt wird, 

c) bei dem fur das f ehlerbehaf tete technische System eine 
zweite Menge erreichbarer Zustande ermittelt wird, 

d) bei dem eine Dif f erenzmenge aus der ersten Menge und der 
15 zweiten Menge gebildet wird, 

e) bei dem Ergebniszustande aus der Dif f erenzmenge ermittelt 
werden, die vorgebbaren Bedingungen geniigen. 



2. Verfahren nach Anspruch 1, 

bei dem die Verf ahrensschritte a) bis f) fur alle moglichen 
Fehler von Sensoren und/oder Aktoren, die das technische Sy- 
stem aufweist, durchgefuhrt werden. 

3. Verfahren nach Anspruch 1 oder 2, 

- bei dem den Sensoren und/oder Aktoren Ausf allwahrschein- 
lichkeiten zugeordnet werden, und 

- bei dem die Fehleranalyse unter Berucksichtigung der Aus- 
f allwahrscheinlichkeiten erf olgt . 

4. Verfahren nach einem der AnsprUche 1 bis 3, 

bei dem -die Verf ahrensschritte b) und c) nach' dem Verfahren 
des Model Checking erf olgt. 

5. Verfahren nach einem der AnsprUche 1 bis 4, 

bei dem in dem Verfahren eine zustandsendliche Beschreibung 
eines von dem technischen System durchgefuhrten Prozesses be- 
rucksichtigt wird. 
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6. Verfahren nach einem der Anspruche 1 bis 5, 

bei dem die zustandsendliche Beschreibung durch einen endli- 
chen Automaten realisiert wird. 

5 

7. Verfahren nach Anspruch 6, 

bei dem die zustandsendliche Beschreibung durch einen endli- 
chen Automaten in Form eines Binary Decision Diagrams (BDD) 
realisiert wird. 

10 

8 . Verwendung des Verf ahrens nach einem der Anspruche 1 bis 7 
beim Rapid Prototyping des technischen Systems. 

9. Verwendung des Verf ahrens nach einem der Anspruche 1 bis 7 
15 im Rahmen der Fehlerdiagnose des technischen Systems. 

10. Verwendung des Verf ahrens nach einem der Anspruche 1 bis 
7 zur Generierung kritischer Priiffalle fur eine Inbetriebset- 
zung und einen Systemtest des technischen Systems. 

20 

11. Verwendung des Verf ahrens nach einem der Anspruche 1 bis 
7 zur praventiven Wartung des technischen Systems. 
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